浅析蜜罐软件Honeyd .pdfVIP

浅析蜜罐软件Honeyd

【摘要】本文介绍了一个低交互级别的蜜罐软件Honeyd，具体分析了它的

逻辑结构，软件的关键技术，指纹匹配，最后还分析完成指纹匹配的相关函数。

【关键词】蜜罐；指纹匹配；相关函数

1Honeyd软件介绍

Honeyd是由NielsProvos创建的一种具有开放源代码的轻型低交互级别的

蜜罐，除了具有蜜罐的共性——引诱攻击者的攻击外，它自身的设计特点不但可

以使Honeyd更有效的完成任务，还能开发出许多新的应用出来。它可以同时模

仿400多种不同的操作系统和上千种不同的计算机。

Honeyd有如下特点：

第一，Honeyd可以同时模仿上百甚至上千个不同的计算机，大部分蜜罐在

同一时间仅可以模仿一台计算机，而Honeyd可以同时呈现上千个不同的IP地址。

第二，可以通过简单的配置文件对服务进行任意配置，可以对虚拟的主机进

行ping操作或者进行traceroute，Honeyd可以根据简单的配置文件对虚拟主机的

任何服务进行任意的配置，它甚至可以作为其他主机的代理。

第三，可以在TCP/IP层模仿操作系统，这就意味着如果有人闯入用户的蜜

罐时，服务和TCP/IP都会模拟操作系统做出各种响应。当前，还没有任何其他

的蜜罐具有这种功能，可以完成的工作包括虚拟nmap和xprobe，调节分配重组

策略以及调节FIN扫描策略。

第四，可以模拟任何路由拓扑结构，可以配置等待时间和丢包率。

第五，作为一种开放源代码的工具，Honeyd可以免费使用，同时也迅速成

为了很多安全组织的开发源代码的一部分。

2Honeyd逻辑结构

Honeyd结构由以下几个部件组成：配置数据库，中心数据包分配器，协议

管理器，服务处理单元，特征引擎，可选的路由器部分。Honeyd的逻辑结构如

图1所示：

图1Honeyd的逻辑结构

各部分的功能分别为：

路由器：路由数据包到达某个虚拟蜜罐所在的地址，会产生三种情况：没有

找到目的地址而丢弃数据包；没有找到目的地址，但是可以把数据包交付给下一

个路由器；可以直接把数据包交付给目的地址。路由是一个可选择的逻辑部件。

数据包分配器：该逻辑部件核查IP数据包的长度，对IP数据包进行正确性

检查，核实确认序列号。分配器只对协议管理器分配三种数据包：ICMP、UDP、

TCP。其他协议的数据包会被丢弃并且不做任何记录。

协议管理器：它包括ICMP/UDP/TCP协议管理和服务处理单元。ICMP协议

管理支持ICMP请求。默认的，所有的蜜罐配置都响应回射请求和处理目标主机

不可达信息；TCP和UDP协议管理器和服务处理单元能够对外建立特定服务的

连接。服务的行为完全依赖于外部应用。TCP协议管理器能够很好的支持三次握

手的建立和FIN或RST的拆卸，但是还不能很好地支持窗口管理和拥塞控制。

特征引擎：将对发送的所有数据包进行指纹匹配，以便在指纹识别工具前能

很好地隐蔽。

配置数据库：它当中包含了一切配置参数，例如虚拟蜜罐的IP地址、默认

的ICMP响应，虚拟链路的网络属性，指纹数据等。

3关键技术

Honeyd能够虚拟蜜罐，并且能够利用这些虚拟的蜜罐构建松散的虚拟蜜罐

网络或有层次结构的虚拟蜜罐网络，这些虚拟的蜜罐网络中甚至可以包含真实的

主机。然而Honeyd要构建虚拟的蜜罐网络需要面对这样一些问题：首先是攻击

者利用指纹工具对连接的蜜罐进行识别时该怎么办；其次，虚拟出的蜜罐网络如

果面对网络拓扑发现工具时怎么办。

Honeyd采用了两种关键的技术来欺骗攻击者，一种是指纹匹配技术，另一

种是虚拟蜜罐网络技术。

4指纹匹配

为了在被探测的时候表现得跟真实的系统一样，虚拟蜜罐要模拟给定操作系

统的网络栈行为，这是虚拟蜜罐的一部分特征。不同的特征能被设计成不同的虚

拟蜜罐。特征引擎通过改变协议数据包头部来匹配特定的操作系统，从而表现出

相应的网络协议栈行为，这一过程成为指纹匹配。

Honeyd运用NMAP的指纹数据库作为TCP和UDP行为特征的的参考；用

XPROBE指纹数据库作为ICMP行为的参考。

下面用NMAP提供的指